CN101540773A - 一种垃圾邮件检测方法及其装置 - Google Patents
一种垃圾邮件检测方法及其装置 Download PDFInfo
- Publication number
- CN101540773A CN101540773A CN200910135074A CN200910135074A CN101540773A CN 101540773 A CN101540773 A CN 101540773A CN 200910135074 A CN200910135074 A CN 200910135074A CN 200910135074 A CN200910135074 A CN 200910135074A CN 101540773 A CN101540773 A CN 101540773A
- Authority
- CN
- China
- Prior art keywords
- behavioral indicator
- indicator
- user
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供一种垃圾邮件检测方法及其装置。该方法包括:获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;分别确定每个所述行为指标对应的所述指标统计信息是否超过所述行为指标对应的指标阈值,并将超过所述指标阈值的所述行为指标对应的权值进行统计;若统计结果超过预设的权值阈值,则确定所述用户发送邮件的行为不正常。通过本发明实施例,可以有效地识别邮件来源,从而有效地处理不明来源的邮件,维护网络正常使用,保证网络安全。
Description
技术领域
本发明涉及网络技术领域,特别涉及一种垃圾邮件检测方法及其装置。
背景技术
随着Internet技术的迅猛发展,电子邮件正成为一种快捷、经济的现代通信技术手段。但是电子邮件在为人们提供方便的同时,也为垃圾邮件、病毒、恶意程序或敏感内容信息的传播提供了重要的载体,对系统安全造成了严重的威胁。
目前使用基于来源的过滤方式来过滤垃圾邮件,即黑白名单技术,黑名单上列出认为会发垃圾邮件的邮件服务器IP地址,白名单则恰恰相反。
发明人在实现本发明的过程中发现现有技术中存在的缺陷在于:黑白名单技术只能过滤已经在黑名单上的用户邮件,而对于来自不明用户的邮件就无法通过黑白名单技术进行处理。另外,在实际操作此过程中不可能在黑白名单中包含所有的(即便是大量)的IP地址,而且垃圾邮件发送者很容易通过不同的IP地址来制造垃圾;而且如果用户白名单上面的某个用户电脑上感染了病毒,向外大量发送垃圾邮件,黑白名单技术也不能处理这种情况。
发明内容
本发明实施例的目的在于提供一种垃圾邮件检测方法及其装置,可动态地、实时地判断垃圾邮件来源,保证网络安全。
本发明实施例提供一种垃圾邮件检测方法,包括:获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;分别确定每个所述行为指标对应的所述指标统计信息是否超过所述行为指标对应的指标阈值,并将超过所述指标阈值的所述行为指标对应的权值进行统计;若统计结果超过预设的权值阈值,则确定所述用户发送邮件的行为不正常。
本发明实施例还提供一种垃圾邮件检测装置,包括:
信息获取单元,用于获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;
权值统计单元,用于分别确定每个所述行为指标对应的所述指标统计信息是否超过所述行为指标对应的指标阈值,并将超过所述指标阈值的所述行为指标对应的权值进行统计;
行为确定单元,用于在所述权值统计单元的统计结果超过预设的权值阈值时,确定所述用户发送邮件的行为不正常。
本发明实施例还提供一种垃圾邮件检测方法,包括:获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;确定所述行为指标对应的所述指标统计信息是否超过所述行为指标对应的指标阈值;若指标统计信息超过指标阈值,则确定所述用户发送邮件的行为不正常。
本发明实施例还提供一种垃圾邮件检测装置,该装置包括:
信息获取单元,用于获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;
行为确定单元,与所述信息获取单元连接,用于在确定所述行为指标对应的所述指标统计信息超过所述行为指标对应的阈值时,确定所述用户发送邮件的行为不正常。
本发明实施例通过对用户发送邮件的行为特征进行统计,并根据预设行为指标对该用户行为特征进行分析来判定发送垃圾邮件的用户,从而达到动态地、实时地判断垃圾邮件来源的目的,根据判断出的垃圾邮件来源有效地控制网络中的垃圾邮件,维护网络正常使用,保证网络安全。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1是本发明实施例一的垃圾邮件检测方法流程图;
图2是本发明实施例二的垃圾邮件检测方法流程图;
图3是本发明实施例三的垃圾邮件检测装置构成示意图;
图4是本发明实施例四的垃圾邮件检测装置构成示意图;
图5是本发明实施例五的垃圾邮件检测方法流程图;
图6是本发明实施例六的垃圾邮件检测装置构成示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例作进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
实施例一
本发明实施例提供一种垃圾邮件检测发送垃圾邮件的用户的检测方法,如图1所示,该方法包括:获取与预设的行为指标对应的用户发送邮件的行为指标统计信息(见步骤101);确定每个行为指标对应的指标统计信息是否超过行为指标对应的指标阈值,并将超过该指标阈值的行为指标对应的权值进行统计(见步骤102);若统计结果超过预设的权值阈值,则确定该用户发送邮件的行为不正常(见步骤103)。
在本实施例中,该行为指标用来衡量发送邮件的网络流量特征,可根据实际情况设置一个或多个,并且每个行为指标对应一个指标阈值和权值。
在本实施例中,该行为指标可为邮件会话的数量(sessions-per-period)、目的服务器数量(dst-ip-address-per-period)、尝试的邮件数量(attempted-messages-per-period)、收件人地址总数(recipients-per-period)、发邮件时间长度、邮件发送速率、唯一的发件人地址总数(unique-senders-per-period)、尝试邮件数量与成功邮件数量的比值(attempted-messages-per-successful-message)中的一个或一个以上。上述行为指标仅仅为本发明的实施例而已,但不限于上述行为指标,还可根据实际情况采用其它指标。
在本实施例中,在进行检测时,可使用上述行为指标中的一个或一个以上进行检测。例如,若采用一个指标进行检测时,如采用“尝试的邮件数量”时,可采用如下方式:正常的用户发送邮件时,尝试的邮件数量也是在一定的合理范围内的。通过统计用户在5分钟内邮件发送尝试的邮件数量,以获取该“尝试的邮件数量”所对应的行为指标统计信息,即尝试的邮件数量;若该尝试的邮件数量超过预定指标阈值时,则对该行为指标对应的权值进行统计,若该权值大于预设的权值阈值,则可确定该用户的邮件发送行为不正常,为发送垃圾邮件的用户。
例如:根据实际经验可以预设“尝试邮件数量”的指标阈值a1=10,指标权值b1=5,预设用户的权值阈值为2。在网络系统中检测到某用户A在5分钟内尝试发送了50封邮件,超过“尝试邮件数量”的指标阈值10,将其权值进行统计,初始时,该用户A的指标权值S0=0,将超过该指标阈值(a1)的行为指标对应的权值(b1)进行统计可获得该用户A的指标权值S1=0+5=5。该S1大于预设的该用户的权值阈值2,可以判定该用户发送邮件的行为不正常。
由上述可知,通过根据预设的行为指标对用户发送邮件的行为特征进行统计得到用户发送邮件的行为指标统计信息,并对该用户发送邮件的行为指标统计信息进行分析,通过该行为指标统计信息与行为指标对应的指标阈值来判定用户发送邮件是否正常,从而确定发送垃圾邮件的用户,从而达到动态地、实时地判断垃圾邮件来源的目的,并可有效地控制网络中的垃圾邮件,维护网络正常使用,保证网络安全。
实施例二
本发明实施例还提供一种垃圾邮件检测方法,所述行为指标用来衡量发送邮件的特征,以下参照附图并以该预设行为指标为邮件会话的数量、目的服务器数量、尝试的邮件数量、收件人地址总数、发邮件时间长度和邮件发送速率为例进行详细说明。
如图2所示,该方法包括:
步骤201,从监控网络的流量中提取每个用户的SMTP流量,即每个用户在网络中传输的邮件数据包。以下以检测其中一个用户的发邮件的行为为例进行说明。
步骤202,根据预设行为指标对用户发送邮件的行为特征进行统计,以获取相应的行为指标统计信息。
在本实施例中,可根据步骤201中提取的预检测的用户的SMTP流量针对邮件会话的数量、目的服务器数量、尝试的邮件数量、收件人地址总数、发邮件时间长度和邮件发送速率进行统计,以获得相应的指标统计信息。
在本实施例中,可将统计的该指标统计信息储存到对应的用户信息中,待检测时使用。
步骤203,分别确定每个行为指标对应的指标统计信息是否超过行为指标对应的指标阈值,并将超过该指标阈值的该行为指标对应的权值进行统计。
在本实施例中,可在预设时间内遍历所有用户,对所有用户发送邮件的行为进行检测。在本实施例中,该预设时间可为1小时,但不限于此,该时间可根据实际情况进行确定。
在本实施例中,可依次对每个行为指标进行处理。对超过该指标阈值的行为指标对应的权值进行统计可采用如下方式:可将超过该指标阈值的行为指标对应的权值相加,以获得统计结果。或者可分别将超过该指标阈值的行为指标对应的权值加到该用户的权值上,最后相加的结果为统计结果,其中,该用户的权值的初始值为零。
步骤204,确定该统计结果是否超过该用户对应的预设的权值阈值。
步骤205,在步骤204中,若确定结果为超过,则可确定该用户发送邮件的行为不正常,即该用户发送垃圾邮件。
步骤206,在步骤204中,若确定结果为未超过,则可确定该用户发送邮件的行为正常。
在本实施例中,在步骤203中,当对一个用户进行检测时,可依次对每个行为指标对应的指标统计信息进行处理,对每个行为指标进行处理时可按照任意顺序依次进行处理,在本实施例中按照如下顺序进行处理:
1)用户邮件会话的数量:
用户邮件会话是用户发送邮件行为的一个重要特征指标。普遍的正常用户,在一定时间里邮件会话数据是在一定的范围。
根据统计的用户在1小时内邮件的会话数量,确定该邮件会话的数量是否超过设定的指标阈值,若超过则将该行为指标的权值累加到该用户的指标权值上。若没有超过,就不累加该行为指标对应的权值到该用户的指标权值上。
例如,预设的指标阈值为a1=500件,预设的权值为b1=20,当统计该用户在1小时内邮件的会话数量为1000件时,超过预设的指标阈值a1=500件,则将该指标的权值b1=20累加到该用户的指标权值S0上,初始时,该用户的指标权值为零S0=0,这样,可获得该用户的指标权值S1=0+20=20。
2)目的SMTP服务器数量:
正常的用户发送邮件时,连接的目的SMTP服务器数量也是在一定的合理范围内的。
根据统计的用户在1小时内邮件发送的目的SMTP服务器数量,确定该目的SMTP服务器数量是否超过设定的指标阈值,若超过则把该行为指标的权值累加到该用户的指标权值上。若没有超过,就不累加该行为指标的权值到该用户的指标权值上。
例如,预设的指标阈值为a2=1000个,预设的权值为b2=10,当统计该用户在1小时内目的服务器的数量为800个时,未超过预设的指标阈值a2=1000个,则不需要将该指标的权值b2=10累加到该用户的指标权值S上,这样,该用户的指标权值S2=0+20。
3)尝试的邮件数量:
正常的用户发送邮件时,尝试的邮件数量也是在一定的合理范围内的。
根据统计的用户在1小时内邮件发送尝试的邮件数量,确定尝试的邮件数量是否超过设定的指标阈值,若超过则把该行为指标的权值累加到该用户的指标权值上。若没有超过,就不累加该指标的权值到该用户的指标权值上。
例如,预设的指标阈值为a3=20个,预设的权值为b3=10,当统计该用户在1小时内尝试的邮件数量为200个时,超过预设的指标阈值a3=20个,则需要将该指标的权值b3=10累加到该用户的指标权值S上,这样,该用户的指标权值S3=0+20+10。
4)收件人地址总数:
正常邮件用户的目的邮件域一般不多,而垃圾邮件发送的目的收件人较多。
根据统计的用户在1小时内邮件发送的收件人地址总数,确定尝试的邮件数量是否超过设定的指标阈值,若超过则把该行为指标的权值累加到该用户的指标权值上。若没有超过,就不累加该行为指标对应的权值到该用户的指标权值上。
例如,预设的指标阈值为a4=10个,预设的权值为b4=10,当统计该用户在1小时内收件人地址总数为200个时,超过预设的指标阈值a4=10个,则需要将该指标的权值b4=10累加到该用户的指标权值S上,这样,该用户的指标权值S4=0+20+10+10。
5)发邮件时间长度:
正常用户发送邮件少,且大部分时间不发送邮件,垃圾邮件和邮件服务器大部分时间发送邮件数目多。
根据统计用户在1小时内用户发送邮件的时间长度,确定发送邮件的时间长度是否超过设定的指标阈值,若超过则把该行为指标的权值累加到该用户的指标权值上。若没有超过,就不累加该行为指标到该用户的绝对指标权值上。
例如,预设的指标阈值为a5=10分钟,预设的权值为b5=20,当统计该用户在1小时内发邮件时间长度为30分钟,超过预设的指标阈值a5=30分钟,则需要将该指标的权值b5=20累加到该用户的指标权值S上,这样,该用户的指标权值S5=0+20+10+10+20。
6)邮件发送速率:
垃圾邮件发送速率普遍比较高,一般认为每15分钟会发送5封以上,此条件作为垃圾邮件判断的先决条件。
根据统计用户在1小时内用户邮件发送速率,确定邮件发送速率是否超过设定的指标阈值,若超过则把该行为指标的权值累加到该用户的指标权值上。若没有超过,就不累加该行为指标的权值到该用户的指标权值上。
例如,预设的指标阈值为a5=20封/小时,预设的权值为b6=30,当统计该用户在1小时内邮件发送速率为30封/小时,超过预设的指标阈值a6=20封/小时,则需要将该指标的权值b6=30累加到该用户的指标权值S上,这样,该用户的指标权值S6=0+20+10+10+20+30。
由上述实施例可知,在对每个行为指标依次进行处理后,对超过指标阈值的行为指标对应的权值进行统计,在此处可以是对该用户的指标权值进行统计,确定该统计结果是否超过预设阈值,若超过,则可确定该用户发送垃圾邮件。此外,也可以对超过指标阈值的行为指标对应的权值进行累加,以获得统计结果。
例如,若该用户的权值阈值为80,则该用户的累计的指标权值S=90,则说明该用户为发送垃圾邮件的用户。
在上述实施例中,是对多个行为指标进行分析统计来确定该用户是否发送垃圾邮件。此外,还可采用一个行为指标进行分析统计,例如,该行为指标可以为上述指标中的任意一个,也可以是一个比例指标,如尝试邮件数量/成功邮件数量:正常用户发送邮件的尝试邮件数量/成功邮件数量是在一个合理的范围内,而发送垃圾邮件用户的尝试邮件数量/成功邮件数量比值通常会很高,因此可以作为判断垃圾邮件发送用户的一个行为指标。
当采用上述比例指标时,在步骤203中,可在一定周期内,对所有用户发送邮件的行为进行检测。在本实施例中,该预设时间可为5分钟,但不限于此,该时间可根据实际情况进行确定。
这样,在步骤203中,根据统计的用户在5分钟内尝试邮件数量/成功邮件数量比值确定其值是否超过设定的指标阈值,若超过则将该指标的权值累加到该用户的指标权值上。若没有超过,就不累加该行为指标的权值到该用户的指标权值上。最后,确定该用户的指标权值是否大于预设的权值阈值,若大于则可判断该用户为发送垃圾邮件的用户。
由上述可知,通过根据预设的行为指标对用户发送邮件的行为特征进行统计得到用户发送邮件的行为指标统计信息,并对该用户发送邮件的行为指标统计信息进行分析,通过该行为指标统计信息与行为指标对应的指标阈值来判定用户发送邮件是否正常,从而确定发送垃圾邮件的用户,从而达到动态地、实时地判断垃圾邮件来源的目的,并可有效地控制网络中的垃圾邮件,维护网络正常使用,保证网络安全。
实施例三
本发明实施例提供一种垃圾邮件检测装置,如图3所示,该装置包括信息获取单元301、权值统计单元302和行为确定单元303。
其中,该信息获取单元301用于获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;
该权值统计单元302用于分别确定每个行为指标对应的指标统计信息是否超过该行为指标对应的指标阈值,并将超过该指标阈值的该行为指标对应的权值进行统计;
该行为确定单元303用于在该权值统计单元302的统计结果超过预设的权值阈值时,确定该用户发送邮件的行为不正常。
在本实施例中,该行为指标可根据实际情况设置一个或多个,并且每个行为指标对应一个指标阈值和权值。
在本实施例中,该行为指标为邮件会话的数量、目的服务器数量、尝试的邮件数量、收件人地址总数、发邮件时间长度、邮件发送速率中的一个或一个以上;或者也可为尝试邮件数量与成功邮件数量的比值。上述行为指标仅仅为本发明的实施例而已,但不限于上述行为指标,还可根据实际情况采用其它指标。
在本实施例中,该装置可单独使用,也可与网络设备结合使用,该装置的工作方法如实施例一类似。当单独使用时,可将该设备通过旁路设备部署在城域网的接入层或城域网出口,对每个用户的SMTP流量进行统计,以获得各个行为指标对应的行为指标统计信息,并根据该信息进行分析处理,以确定该用户的行为是否正常。
由上述可知,该装置根据预设行为指标对用户发送邮件的行为特征进行统计得到用户发送邮件的行为指标统计信息,并对该用户发送邮件的行为指标统计信息进行分析,通过该行为指标统计信息与行为指标对应的指标与阈值来判定用户发送邮件是否正常,从而确定发送垃圾邮件的用户,从而达到动态地、实时地判断垃圾邮件来源的目的,并可有效地控制网络中的垃圾邮件,维护网络正常使用,保证网络安全。
实施例四
本发明实施例提供一种垃圾邮件检测装置,如图4所示,该装置包括信息获取单元301、权值统计单元302和行为确定单元303,其作用与实施例三类似,此处不再赘述。
此外,如图4所示,该信息获取单元301可包括信息提取单元401和信息统计单元402;其中,该信息提取单元401用于提取该用户在网络中传输的邮件;该信息统计单元402用于根据该预设行为指标对该用户发送邮件的行为特征进行统计,以获取相应的行为指标统计信息,所述行为指标用来衡量发送邮件的特征。
如图4所示,该装置还可包括结果确定单元403,用于确定该权值统计单元302的统计结果是否超过预设的权值阈值,若超过,则该行为确定单元303确定该用户发送邮件的行为不正常;若不超过,则该行为确定单元303还用于确定该用户发送邮件的行为正常。
如图4所示,该装置还可包括存储单元404,可储存上述行为指标统计信息以及每个行为指标对应的指标阈值和权值,以及权值阈值。
在本实施例中,该装置可单独使用,也可与网络设备结合使用,该装置的工作方法如实施例三类似。当单独使用时,可将该设备通过旁路设备部署在城域网的接入层或城域网出口,对每个用户的SMTP流量进行统计,以获得各个行为指标对应的行为指标统计信息,并根据该信息进行分析处理,以确定该用户的行为是否正常。
由上述可知,通过根据预设的行为指标对用户发送邮件的行为特征进行统计得到用户发送邮件的行为指标统计信息,并对该用户发送邮件的行为指标统计信息进行分析,通过该行为指标统计信息与行为指标对应的指标阈值来判定用户发送邮件是否正常,从而确定发送垃圾邮件的用户,从而达到动态地、实时地判断垃圾邮件来源的目的,并可有效地控制网络中的垃圾邮件,维护网络正常使用,保证网络安全。
实施例五
本发明实施例提供一种垃圾邮件检测方法,如图5所示,该方法包括:获取与预设的行为指标对应的用户发送邮件的行为指标统计信息(见步骤501);确定每个行为指标对应的指标统计信息是否超过行为指标对应的指标阈值(见步骤502);若指标统计信息超过该指标阈值,则确定该用户发送邮件的行为不正常(见步骤503)。
在本实施例中,所述行为指标用来衡量发送邮件的特征,该行为指标可为邮件会话的数量(sessions-per-period)、目的服务器数量(dst-ip-address-per-period)、尝试的邮件数量(attempted-messages-per-period)、收件人地址总数(recipients-per-period)、发邮件时间长度、邮件发送速率、唯一的发件人地址总数(unique-senders-per-period)、尝试邮件数量与成功邮件数量的比值(attempted-messages-per-successful-message)中的任意一个。上述行为指标仅仅为本发明的实施例而已,但不限于上述行为指标,还可根据实际情况采用其它指标。
在本实施例中,在进行检测时,可使用上述指标中的任意一个进行检测。例如:可以预定若在5分钟内某用户尝试发送邮件超过10封,则该用户发送邮件不正常,根据实际经验可以预设“尝试邮件数量”的指标阈值a1=10。在网络系统中检测到某用户A在5分钟内尝试发送了50封邮件,超过“尝试邮件数量”的指标阈值10,可以判定该用户发送邮件的行为不正常。
由上述可知,通过根据预设的行为指标对用户发送邮件的行为特征进行统计得到用户发送邮件的行为指标统计信息,并对该用户发送邮件的行为指标统计信息进行分析,通过该行为指标统计信息与行为指标对应的指标阈值来判定用户发送邮件是否正常,从而确定发送垃圾邮件的用户,从而达到动态地、实时地判断垃圾邮件来源的目的,并可有效地控制网络中的垃圾邮件,维护网络正常使用,保证网络安全。
实施例六
本发明实施例还提供一种垃圾邮件检测装置,如图6所示,该装置包括信息获取单元601和行为确定单元602;其中,该信息获取单元601用于获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;该行为确定单元602与该信息获取单元601连接,用于在确定该行为指标对应的该指标统计信息超过该行为指标对应的阈值时,确定该用户发送邮件的行为不正常。
在本实施例中,该行为指标可为邮件会话的数量(sessions-per-period)、目的服务器数量(dst-ip-address-per-period)、尝试的邮件数量(attempted-messages-per-period)、收件人地址总数(recipients-per-period)、发邮件时间长度、邮件发送速率、唯一的发件人地址总数(unique-senders-per-period)、尝试邮件数量与成功邮件数量的比值(attempted-messages-per-successful-message)中的任意一个。上述行为指标仅仅为本发明的实施例而已,但不限于上述行为指标,还可根据实际情况采用其它指标。
在本实施例中,在进行检测时,可使用上述指标中的任意一个进行检测。例如:可以预定若在5分钟内某用户尝试发送邮件超过10封,则该用户发送邮件不正常,根据实际经验可以预设“尝试邮件数量”的指标阈值a1=10。在网络系统中检测到某用户A在5分钟内尝试发送了50封邮件,超过“尝试邮件数量”的指标阈值10,可以判定该用户发送邮件的行为不正常。
由上述可知,通过根据预设的行为指标对用户发送邮件的行为特征进行统计得到用户发送邮件的行为指标统计信息,并对该用户发送邮件的行为指标统计信息进行分析,通过该行为指标统计信息与行为指标对应的指标阈值来判定用户发送邮件是否正常,从而确定发送垃圾邮件的用户,从而达到动态地、实时地判断垃圾邮件来源的目的,并可有效地控制网络中的垃圾邮件,维护网络正常使用,保证网络安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种垃圾邮件检测方法,其特征在于,所述方法包括:
获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;
分别确定每个所述行为指标对应的所述指标统计信息是否超过所述行为指标对应的指标阈值,并将超过所述指标阈值的所述行为指标对应的权值进行统计;
若统计结果超过预设的权值阈值,则确定所述用户发送邮件的行为不正常。
2.根据权利要求1所述的方法,其特征在于,所述预设行为指标为邮件会话的数量、和/或目的服务器数量、和/或尝试的邮件数量、和/或收件人地址总数、和/或发邮件时间长度、和/或邮件发送速率、和/或唯一的发件人地址总数、和/或尝试邮件数量与成功邮件数量的比值。
3.根据权利要求1所述的方法,其特征在于,所述获取与预设行为指标对应的用户发送邮件的行为指标统计信息,包括:
提取所述用户在网络中传输的邮件;
根据所述预设行为指标对所述用户发送邮件的行为特征进行统计,以获取相应的行为指标统计信息。
4.一种垃圾邮件检测装置,其特征在于,所述装置包括:
信息获取单元,用于获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;
权值统计单元,用于分别确定每个所述行为指标对应的所述指标统计信息是否超过所述行为指标对应的指标阈值,并将超过所述指标阈值的所述行为指标对应的权值进行统计;
行为确定单元,用于在所述权值统计单元的统计结果超过预设的权值阈值时,确定所述用户发送邮件的行为不正常。
5.根据权利要求4所述的装置,其特征在于,所述预设行为指标为邮件会话的数量、和/或目的服务器数量、和/或尝试的邮件数量、和/或收件人地址总数、和/或发邮件时间长度、和/或邮件发送速率、和/或唯一的发件人地址总数、和/或尝试邮件数量与成功邮件数量的比值。
6.根据权利要求4所述的装置,其特征在于,所述装置还包括结果确定单元,用于确定所述权值统计单元的统计结果是否超过预设的权值阈值,若超过,则所述行为确定单元确定所述用户发送邮件的行为不正常。
7.根据权利要求4所述的装置,其特征在于,所述信息获取单元包括:
信息提取单元,用于提取所述用户在网络中传输的邮件;
信息统计单元,用于根据所述预设行为指标对所述用户发送邮件的行为特征进行统计,以获取相应的行为指标统计信息。
8.一种垃圾邮件检测方法,其特征在于,所述方法包括:
获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;
确定所述行为指标对应的所述指标统计信息是否超过所述行为指标对应的阈值;
若所述指标统计信息超过所述阈值,则确定所述用户发送邮件的行为不正常。
9.根据权利要求8所述的方法,其特征在于,所述预设行为指标为邮件会话的数量、目的服务器数量、尝试的邮件数量、收件人地址总数、发邮件时间长度、邮件发送速率、唯一的发件人地址总数、尝试邮件数量与成功邮件数量的比值中的任意一个。
10.一种垃圾邮件检测装置,其特征在于,所述装置包括:
信息获取单元,用于获取与预设的行为指标对应的用户发送邮件的行为指标统计信息,所述行为指标用来衡量发送邮件的特征;
行为确定单元,与所述信息获取单元连接,用于在确定所述行为指标对应的所述指标统计信息超过所述行为指标对应的阈值时,确定所述用户发送邮件的行为不正常。
11.根据权利要求10所述的装置,其特征在于,所述预设行为指标为邮件会话的数量、目的服务器数量、尝试的邮件数量、收件人地址总数、发邮件时间长度、邮件发送速率、唯一的发件人地址总数、尝试邮件数量与成功邮件数量的比值中的任意一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101350745A CN101540773B (zh) | 2009-04-22 | 2009-04-22 | 一种垃圾邮件检测方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101350745A CN101540773B (zh) | 2009-04-22 | 2009-04-22 | 一种垃圾邮件检测方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101540773A true CN101540773A (zh) | 2009-09-23 |
| CN101540773B CN101540773B (zh) | 2012-05-23 |
Family
ID=41123759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101350745A Active CN101540773B (zh) | 2009-04-22 | 2009-04-22 | 一种垃圾邮件检测方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101540773B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078752A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
| CN104065557A (zh) * | 2013-03-20 | 2014-09-24 | 腾讯科技(深圳)有限公司 | 电子邮件处理方法、装置和电子邮件服务器 |
| CN104283855A (zh) * | 2013-07-08 | 2015-01-14 | 北京思普崚技术有限公司 | 一种垃圾邮件的截获方法 |
| CN104584515A (zh) * | 2012-08-24 | 2015-04-29 | Abb技术有限公司 | 过程控制系统中的通信配置分析 |
| CN104660490A (zh) * | 2014-11-26 | 2015-05-27 | 盈世信息科技(北京)有限公司 | 外发邮件控制方法与系统 |
| CN104680357A (zh) * | 2013-11-29 | 2015-06-03 | 腾讯科技(深圳)有限公司 | 电子邮件管理方法及装置 |
| CN105007218A (zh) * | 2015-08-20 | 2015-10-28 | 世纪龙信息网络有限责任公司 | 反垃圾电子邮件方法和系统 |
| CN107172023A (zh) * | 2017-05-03 | 2017-09-15 | 成都国腾实业集团有限公司 | 面向内容的网络安全监控系统及方法 |
| CN107317790A (zh) * | 2016-04-27 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 网络行为的监控方法及装置 |
| CN108833258A (zh) * | 2018-06-12 | 2018-11-16 | 广东睿江云计算股份有限公司 | 一种邮件服务主动发现异常的方法 |
| CN108880990A (zh) * | 2018-06-14 | 2018-11-23 | 深信服科技股份有限公司 | 检测外发垃圾邮件的方法、系统、装置及可读存储介质 |
| CN109040103A (zh) * | 2018-08-27 | 2018-12-18 | 深信服科技股份有限公司 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
| CN109660452A (zh) * | 2018-12-26 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种垃圾邮件源检测方法及装置 |
| WO2019137290A1 (zh) * | 2018-01-09 | 2019-07-18 | 论客科技(广州)有限公司 | 一种发信人的信誉值生成方法与过滤垃圾邮件的方法 |
| CN110417643A (zh) * | 2019-07-29 | 2019-11-05 | 世纪龙信息网络有限责任公司 | 邮件处理方法和装置 |
| CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、系统及计算机可读存储介质 |
| CN110557352A (zh) * | 2018-05-30 | 2019-12-10 | 深信服科技股份有限公司 | 一种群发垃圾邮件的检测方法、装置及设备 |
| CN110740089A (zh) * | 2018-07-20 | 2020-01-31 | 深信服科技股份有限公司 | 一种群发垃圾邮件的检测方法、装置及设备 |
| CN111404805A (zh) * | 2020-03-12 | 2020-07-10 | 深信服科技股份有限公司 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719812A (zh) * | 2005-08-08 | 2006-01-11 | 北京中星微电子有限公司 | 垃圾电子邮件过滤方法和系统 |
| EP1965547B1 (en) * | 2007-02-28 | 2015-10-07 | Strato Ag | A computer implemented system and a method for detecting abuse of an electronic mail infrastructure in a computer network |
| CN101136874A (zh) * | 2007-07-25 | 2008-03-05 | 华南理工大学 | 基于综合决策的防垃圾邮件误过滤方法及系统 |
-
2009
- 2009-04-22 CN CN2009101350745A patent/CN101540773B/zh active Active
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104584515A (zh) * | 2012-08-24 | 2015-04-29 | Abb技术有限公司 | 过程控制系统中的通信配置分析 |
| US10338544B2 (en) | 2012-08-24 | 2019-07-02 | Abb Schweiz Ag | Communication configuration analysis in process control systems |
| US10135844B2 (en) | 2012-12-27 | 2018-11-20 | Huawei Technologies Co., Ltd. | Method, apparatus, and device for detecting e-mail attack |
| WO2014101758A1 (zh) * | 2012-12-27 | 2014-07-03 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
| CN103078752B (zh) * | 2012-12-27 | 2016-03-30 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
| CN103078752A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
| US10673874B2 (en) | 2012-12-27 | 2020-06-02 | Huawei Technologies Co., Ltd. | Method, apparatus, and device for detecting e-mail attack |
| CN104065557A (zh) * | 2013-03-20 | 2014-09-24 | 腾讯科技(深圳)有限公司 | 电子邮件处理方法、装置和电子邮件服务器 |
| CN104065557B (zh) * | 2013-03-20 | 2017-12-26 | 腾讯科技(深圳)有限公司 | 电子邮件处理方法、装置和电子邮件服务器 |
| CN104283855A (zh) * | 2013-07-08 | 2015-01-14 | 北京思普崚技术有限公司 | 一种垃圾邮件的截获方法 |
| CN104680357A (zh) * | 2013-11-29 | 2015-06-03 | 腾讯科技(深圳)有限公司 | 电子邮件管理方法及装置 |
| US10275742B2 (en) | 2013-11-29 | 2019-04-30 | Tencent Technology (Shenzhen) Company Limited | Methods and devices for managing emails |
| CN104660490A (zh) * | 2014-11-26 | 2015-05-27 | 盈世信息科技(北京)有限公司 | 外发邮件控制方法与系统 |
| CN104660490B (zh) * | 2014-11-26 | 2018-08-03 | 论客科技(广州)有限公司 | 外发邮件控制方法与系统 |
| CN105007218B (zh) * | 2015-08-20 | 2018-07-31 | 世纪龙信息网络有限责任公司 | 反垃圾电子邮件方法和系统 |
| CN105007218A (zh) * | 2015-08-20 | 2015-10-28 | 世纪龙信息网络有限责任公司 | 反垃圾电子邮件方法和系统 |
| CN107317790A (zh) * | 2016-04-27 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 网络行为的监控方法及装置 |
| CN107172023A (zh) * | 2017-05-03 | 2017-09-15 | 成都国腾实业集团有限公司 | 面向内容的网络安全监控系统及方法 |
| WO2019137290A1 (zh) * | 2018-01-09 | 2019-07-18 | 论客科技(广州)有限公司 | 一种发信人的信誉值生成方法与过滤垃圾邮件的方法 |
| CN110519150B (zh) * | 2018-05-22 | 2022-09-30 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、系统及计算机可读存储介质 |
| CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、系统及计算机可读存储介质 |
| CN110557352A (zh) * | 2018-05-30 | 2019-12-10 | 深信服科技股份有限公司 | 一种群发垃圾邮件的检测方法、装置及设备 |
| CN108833258A (zh) * | 2018-06-12 | 2018-11-16 | 广东睿江云计算股份有限公司 | 一种邮件服务主动发现异常的方法 |
| CN108880990A (zh) * | 2018-06-14 | 2018-11-23 | 深信服科技股份有限公司 | 检测外发垃圾邮件的方法、系统、装置及可读存储介质 |
| CN108880990B (zh) * | 2018-06-14 | 2021-02-05 | 深信服科技股份有限公司 | 检测外发垃圾邮件的方法、系统、装置及可读存储介质 |
| CN110740089A (zh) * | 2018-07-20 | 2020-01-31 | 深信服科技股份有限公司 | 一种群发垃圾邮件的检测方法、装置及设备 |
| CN109040103A (zh) * | 2018-08-27 | 2018-12-18 | 深信服科技股份有限公司 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
| CN109040103B (zh) * | 2018-08-27 | 2021-09-17 | 深信服科技股份有限公司 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
| CN109660452A (zh) * | 2018-12-26 | 2019-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种垃圾邮件源检测方法及装置 |
| CN109660452B (zh) * | 2018-12-26 | 2021-11-02 | 绿盟科技集团股份有限公司 | 一种垃圾邮件源检测方法及装置 |
| CN110417643A (zh) * | 2019-07-29 | 2019-11-05 | 世纪龙信息网络有限责任公司 | 邮件处理方法和装置 |
| CN110417643B (zh) * | 2019-07-29 | 2021-10-08 | 世纪龙信息网络有限责任公司 | 邮件处理方法和装置 |
| CN111404805A (zh) * | 2020-03-12 | 2020-07-10 | 深信服科技股份有限公司 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101540773B (zh) | 2012-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101540773B (zh) | 一种垃圾邮件检测方法及其装置 | |
| US7774845B2 (en) | Computer security system | |
| US7610344B2 (en) | Sender reputations for spam prevention | |
| US8370930B2 (en) | Detecting spam from metafeatures of an email message | |
| EP2800333B1 (en) | Method, apparatus and device for detecting an e-mail bomb | |
| JP4827518B2 (ja) | メッセージ内容に基づく迷惑メッセージ(スパム)の検出 | |
| CN101472245B (zh) | 垃圾短信拦截方法和装置 | |
| EP1635524A1 (en) | A method and system for identifying and blocking spam email messages at an inspecting point | |
| CN111404805B (zh) | 一种垃圾邮件检测方法、装置、电子设备及存储介质 | |
| CN110519150A (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| Twining et al. | Email Prioritization: Reducing Delays on Legitimate Mail Caused by Junk Mail. | |
| EP2665230B1 (en) | Method and system for email spam detection, using aggregated historical data set | |
| CA2977807C (en) | Technique for detecting suspicious electronic messages | |
| JP2013229656A (ja) | メール処理方法及びシステム | |
| CN112511517B (zh) | 一种邮件检测方法、装置、设备及介质 | |
| JP2005184792A (ja) | 帯域制御装置、帯域制御方法及び帯域制御プログラム | |
| CN109862029A (zh) | 一种使用大数据分析的应对暴力破解行为的方法及系统 | |
| CN107743087B (zh) | 一种邮件攻击的检测方法及系统 | |
| CN114301700A (zh) | 调整网络安全防御方案的方法、装置、系统及存储介质 | |
| CN105721539A (zh) | 一种基于行为特征的短信分类装置及方法 | |
| KR101814088B1 (ko) | 지능형 및 학습형 메일 방화벽 장치 | |
| CN106941440B (zh) | 一种会话反骚扰方法及装置 | |
| CN108989275A (zh) | 一种攻击防范方法和装置 | |
| CN101651692B (zh) | 网络安全保护方法、安全服务器和转发设备 | |
| CN104660490B (zh) | 外发邮件控制方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: HUAWEI TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Effective date: 20130613 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 611731 CHENGDU, SICHUAN PROVINCE TO: 518129 SHENZHEN, GUANGDONG PROVINCE |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20130613 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |